3、AP上线的那些事儿（2）AP三层如何发现AC？出现故障怎么维护？

（2）AC与AP都在不同VLAN网段的场景（这里省去外网以及有线部分，我们这里主要讲解无线上线这块）

                          场景一（最常见）：AP分布在各个VLAN网段下面

  场景2：总部由AC，由N多分支的AP想通过总部进行集中管理

不管是什么样的场景，这里可以看到，AC与AP都是在不同的VLAN网段下的，这时候就需要用到我们之前提到的一个功能就是option 43，option 43的作用就是在DHCP下发地址的时候利用option 43的参数下发来让AP知道AC的地址，我们把这种组网方式叫做三层上线，这里我们用场景1来举例。

场景一的拓扑分析：

1、AC、三层交换机以及办公室的二层交换机都是可配置的

2、监控网的交换机是傻瓜不支持配置

3、整体一个管理网段为VLAN 100，办公室的业务VLAN是2，监控网的VLAN是3

4、办公网的AP自然就属于VLAN2，监控网的AP属于VLAN 3

5、VLAN之间的通信依赖三层交换机的VLANIF网关进行转发，需要配置VLANIF。

初始化配置

1、三层交换机

vlanbatch 2 3 100 

#创建VLAN

dhcp enable

#开启DHCP功能

interface Vlanif100

 ip address 192.168.100.1 255.255.255.0

#创建100的VLANIF网关

interface Vlanif2

 ip address 192.168.2.1 255.255.255.0

 dhcp select interface

#创建VLANIF 2的网关并且开始DHCP

interface Vlanif3

 ip address 192.168.3.1 255.255.255.0

 dhcp select interface

#创建VLANIF 3的网关并且开启DHCP

interfaceGigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 100

#

interfaceGigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 2 100

#                                        

interfaceGigabitEthernet0/0/3

 port link-type access

 port default vlan 3

#1号口对接AC，2号口对接下面可配置的二层交换机POE，都配置成了trunk允许对应的VLAN通过，而3口接的是傻瓜交换机，这里直接把这个口划入到VLAN3即可，那么下面对应的都在VLAN3了

2、POE二层交换机配置

vlan batch 2 100

#创建对应VLAN

interfaceGigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 100

#对接三层交换机的口配置为trunk，允许2跟100通过

interfaceGigabitEthernet0/0/2

 port link-type access

 port default vlan 2

#对接AP的口配置成access，加入VLAN2钟

interface Vlanif100

 ip address 192.168.100.2 255.255.255.0

#创建一个VLANIF100作为管理（这里只是模拟真实环境，在上线过程中不起到作用）

ip route-static 0.0.0.00.0.0.0 192.168.100.1

#写一条默认路由到三层，其他网段可以访问到

3、AC配置

vlan 100

#创建VLAN

#

interfaceGigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 100

#对接三层交换机的口配置成trunk

interface Vlanif100

 ip address 192.168.100.3 255.255.255.0

#创建管理地址，并且用于跟AP建立CAPWAP隧道用

ip route-static 0.0.0.00.0.0.0 192.168.100.1

#默认路由让其他VLAN都能互访，很重要。

capwap source  interface Vlanif 100

#指定CAPWAP源接口

wlan

ap auth-mode no-auth

#AP上线为不认证

可以看到两个AP都获取到对应VLAN网段的地址了，并且可以跟100.3通信

AC上面自然没看到AP，之前我们了解过CAPWAP发现机制，它属于广播报文，而这个环境是跨越了VLAN的，所以AC根本收不到，这时候我们就用到一直在讲到option43了。

三层交换机上面

interface Vlanif2

 dhcp server option 43 sub-option 3 ascii192.168.100.3

interfaceVlanif3

 dhcp server option 43 sub-option 3 ascii192.168.100.3

我们在重启AP，这个时候在来看下。

抓包我们可以看到，在DHCP服务器回应的报文种会携带一个option 43参数，这个就是附带的AC地址，这样AP就知道AC在哪了。

这个时候就可以看到2台AP已经上线了。这里可以看到三层上线就依赖dhcp option 43，AP通过option 43知道AC的位置，然后通过单播跟AC建立CAPWAP隧道。

（3）AP采用静态地址上线（这里省去外网以及有线部分，我们这里主要讲解无线上线这块）

静态地址设置的场景一般不多

1、在DHCP不支持option 43的情况下，需要写静态指定

2、分支想通过总部AC统一管理的情况，分支没有DHCP支持option43，可以采用静态指定方式

默认情况下AP是属于DHCP方式

ap-address mode static

ap-address staticip-address 192.168.100.1 255.255.255.0 192.168.100.254

ap-address  static ac-list 192.168.2.1

#通过指定方式来指定为静态，然后指定AP的地址、掩码、网关、以及AC地址

这里一定要注意，静态地址设置是一定需要重启AP才生效的。输入reboot fast直接重启不需要保存

常见维护命令以及注意地方

排错相关命令介绍

displayap online-fail-record all：用来查看AP上线失败的原因

这里列举几个常见遇到的提示跟解决办法，并且列表中记录了MAC地址以及最后的显示时间

1、Not in MAC whitelist或者Not in SN whitelist：是因为AC开启了MAC/SN认证AP的方式，解决办法（1）添加白名单apwhitelist MAC/SN 后面跟MAC或者SN参数（2）离线添加AP ：ap-id  0 ap-mac

2、The AP is added to the AP blacklist：是因为AC配置了AP黑名单，可以直接undo  ap blacklist （在WLAN视图下）

3、（1）CAPWAP tunnelnegotiation fails.（2）The CAPWAP tunnel fails to be established：这2个提示都是CAPWAP建立失败导致这个原因（1）线路问题  （2）速率双工协商不一致（3） AP到AC的路径中出现了故障

4、Insufficient license resources：AC授权不够了导致AP没办法上线，比如有10台AP，只有8个授权，那么另外2个是怎么都不会显示的。（授权查看display license，也可以在WEB端的维护里面查看到）

可以看到总数量 是56个，然后授权为永久。

displaylicense resource usage :通过该命令可以直接查看当前用了多少，总数量是多少

5、（1）The versions of the AP and AC do not match （2）The AC does notsupport the AP type：（1）第一个提示是说AP跟AC的版本不一致（2）第二个提示是目前AC的版本不支持该AP（通常是比如AC的版本是有几个版本没更新了，而新加入的AP是后面版本才加入支持的，所以识别不到）  解决办法（1）AC上面批量升级AP （2）升级AC版本到支持该AP型号的版本。通过display ap-type all

可以看到目前AC支持的型号由哪些，如果发现买的AP的型号不在列表里面，那么说明该AC当前版本不支持，需要升级了。

display ap offline-record all ：查看AP下线记录信息，这里说下常见的

1、Echo time：AP与AC的中间网络故障导致的心跳报文超时（检查对应中间线路、配置是否出现问题）

2、重启AP以及AP升级自动重启会出现的提示（这个是常规提示，不需要处理）

Reboot by ap updatereset command.

The AP is resetautomatically after the upgrade.

3、Insufficient license resources   授权不足

4、The AP is added to the blacklist   AP被添加进了黑名单

AC与AP中间经过的设备需要注意的地方

1、AC、交换机的 VLAN是否创建，接口是否正常配置，比如trunk Access

2、跨三层的AP上线，DHCP是否配置了option43

3、跨三层的时候，VLAN间是否通信正常

维护相关命令介绍

display  ap all：查看当前AP信息，包括ID序列号、AP的MAC地址、名称、在哪个组、IP地址、AP类型、状态、运行时间

这里特别说下状态 state（它提现的是CAPWAPAP与AC建立隧道的正常与否），这里说明几个常见的。

1、nor：正常状态

2、fault：曾经正常上线，但是某些原因跟AC失去了通信。（1）供电问题（2）AP的上行线路出故障 （3）升级自动重启 （4）AP设备故障  （5）AP与AC之间的网络出现故障

3、dload：当AP与AC版本不一致的时候，我们在AC配置了升级那么升级中的AP会出现这个状态

4、cfg：当新的AP上线到AC后，AC会下发业务配置给AP，AP进行同步。如果出现了cfgfa表示同步失败，需要检查AP与AC之间的连通性。

5、cmt：当AP已经上线在AC后，AC增加或者删除、更改了WLAN业务配置，AC会主动下发给AP这些变动的配置。如果出现了cmtfa表示下发失败，需要检查AP与AC之间的连通性。

6、idle：AP与AC重来没有建立过CAPWAP隧道，而是人为添加上去，一直没有上线成功

7、vmiss：当前AC与AP的版本不一致，无法正常工作，需要进行升级或者降级。

8、namec：两个AP的名字冲突了，可以通过ap-renameap-id 来更改名字

displaycapwap configuration：查看当前CAPWAP的配置

1、会显示CAPWAP的指定源接口或者IP地址

2、发送ECHO的间隔为25s，超时时间为6次，就是AP会每隔25s发送一次EHCO，如果AC没有在25S收到EHCO，那么在6次还没收到，那么则认为AP出现了故障

3、默认DTLS加密是关闭的

display  ap global configuration：查看当前AP采用的认证方式

display ap   version  all：查看AP当前版本，主要检查与AC是否匹配

display  ap blacklist：显示AP的黑名单，有时候不小心添加进去了，导致AP上不了线

AP维护相关命令介绍

display  ip int br：查看AP是否获取到地址，只有获取到地址才能跟AC进行建立隧道

ping：ping AC地址是否能通，包括延迟、丢包情况等

display version：查看AP当前版本以及型号，FIT表示瘦模式，FAT表示胖，如果是胖模式是需要刷机到瘦

AC常见操作命令介绍

所有操作都在WLAN视图下完成

1、ap-reset：可以重启某一台AP、或者全部AP

2、ap-rename：对某个AP进行名字更改，冲突的时候或者位置名字发生改变使用

3、ap-id 1 ap-mac：离线添加AP

4、ap auth-mode：AP认证模式更改

5、ap lldp enable ：这个功能比较实用，可以看到AP接在哪个交换机下面，前提对应的POE交换机也开了LLDP功能  display ap lldpneighbor brief

6、ap username / ap password：更改AP的登陆认证帐号密码，默认为初始化帐号密码

7、ap blacklist mac / ap whitelist mac ：AP的黑白名单功能，在白名单里面，AP采用MAC认证的情况下直接通过，如果是黑名单，则直接不允许。

需要掌握：

关于AP二三层AP上线以及排错跟维护都讲解完毕了，大家需要掌握的是

1、AP与AC建立CAPWAP的过程（有一个大概的了解，后期我们排错有一个好的思路，知道卡在哪个阶段了）

2、AP与AC中间设备的配置，比如VLAN创建、接口的模式是trunk还是access

3、AC上面的VLAN与VLANIF配置，指定CAPWAP源接口，以及接口模式

4、AC对AP的认证方式

5、开启DHCP功能，如果是跨三层的话需要定义option 43来告诉AP AC在哪

6、熟悉排错命令以及常见的维护命令

 WEB相关 

1、DHCP option 43的配置

2、查看AP状态，可以查看上线失败记录、下线失败记录，当前状态等。

3、维护相关（包括升级、重启、日志管理登，关于升级我们后续单独用一篇讲解）

  4、操作方面

可以点击修改，改名字、以及IP地址获取方式，改成固定。当然还有白名单、黑名单登

 练习巩固：

1、搭建一个二层上线拓扑，并且完成上线

2、搭建一个三层上线拓扑，并且完成上线

3、分别采用MAC、不认证体验

4、可以用命令行与WEB分别体验下 

 关于升级与刷机   

   本来下一篇开始要讲解批量升级与刷机，后来想了下，还是不这样安排了，下一篇开始讲解正式的无线业务配置，已经连续两篇讲解上线相关的，在来一篇升级与刷机有点枯燥，所以下一篇开始正式进入无线业务配置，这一块也比较花费时间跟精力，涉及的东西有点多，博主会以实际工作中常见的组网来讲解，方便大家理解跟后续部署。

本文首发于公众号：网络之路博客